La campagne en plusieurs étapes ciblant la Corée du Sud utilise des raccourcis Windows militarisés et un système de commande et de contrôle basé sur GitHub pour échapper à la détection.
Les acteurs de la menace liés à la RPDC préfèrent la furtivité à la sophistication pour cibler les organisations sud-coréennes, alors que des chercheurs signalent l’utilisation de fichiers de raccourcis Windows (.LNK) armés et de canaux de commande et de contrôle (C2) basés sur GitHub dans une nouvelle campagne.
Selon de nouvelles découvertes de Fortinet, une série d’attaques qui ont débuté en 2024 ont été découvertes à l’aide d’un processus de script en plusieurs étapes et de GitHub C2 pour échapper à la détection, l’obscurcissement s’améliorant à chaque itération de la campagne.
« Ces derniers mois, les acteurs malveillants ont modifié leurs tactiques », ont déclaré les chercheurs de Fortinet dans un article de blog. « Ils intègrent désormais des fonctions de décodage dans les arguments LNK et incluent des charges utiles codées directement dans les fichiers. » La campagne en cours semble viser à étendre la surveillance de la RPDC en Corée du Sud. Les chercheurs ont noté qu’une moindre obscurcissement et des métadonnées plus lourdes dans les itérations précédentes de la campagne leur avaient permis de la lier aux attaques propageant le malware XenoRAT.
Jason Soroko, chercheur principal chez Sectigo, estime que cette stratégie s’aligne sur la tendance récente des attaquants qui s’appuient sur des utilitaires Windows intégrés et des services légitimes pour atteindre leurs objectifs. « Le cyberespionnage moderne a fondamentalement évolué vers une stratégie très évasive connue sous le nom de « vivre de la terre », a-t-il déclaré, soulignant que les attaquants abusent de plus en plus des outils natifs comme PowerShell et des tâches planifiées pour se fondre dans l’activité normale du système.
Les fichiers LNK sont connus depuis longtemps pour leur historique d’exploitation, Microsoft ayant publié plusieurs correctifs et avis au fil des ans pour freiner leur utilisation abusive.
Fichiers LNK utilisés comme chargeurs furtifs
La campagne commence son infection par un fichier de raccourci Windows, qui est généralement utilisé pour lancer des applications ou ouvrir des documents, mais peut également intégrer des commandes pour exécuter des scripts ou des fichiers binaires.
« Un fichier .lnk est la manière dont Windows gère les raccourcis : chaque fois que vous cliquez sur cette icône Outlook sur votre bureau, vous cliquez en fait sur un fichier distinct qui utilise l’image Outlook et demande au système d’exploitation d’ouvrir Microsoft Outlook », a expliqué Jamie Boote, directeur principal du conseil en sécurité stratégique chez Black Duck. « Vous pouvez également créer des liens de raccourci (fichiers .lnk) vers des sites Web, des programmes avec des commandes supplémentaires, des scripts exécutables et à peu près tout ce que vous pouvez saisir dans la fenêtre de commande Exécuter de Windows. »
Les fichiers LNK de la campagne utilisent divers scripts, y compris des versions antérieures avec une simple concaténation de caractères pour masquer l’adresse GitHub C2 et le jeton d’accès, ont indiqué les chercheurs, ajoutant qu’il était facile de déterminer que le script était destiné à exécuter une commande PowerShell récupérée sur GitHub.
Les versions ultérieures sont passées aux fonctions de décodage de caractères de base, rendant la détection un peu plus délicate, mais elles contenaient toujours des métadonnées révélatrices telles que le nom, les tailles et les dates de modification qui permettaient aux chercheurs de les connecter à la campagne spécifique. La colonne de nom utilise à plusieurs reprises « document Hangul », un modèle cohérent avec des groupes affiliés à l’État comme Kimsuky, APT37 et Lazarus.
Dans sa dernière itération, les opérateurs de campagne ont supprimé les métadonnées d’identification, en utilisant désormais uniquement une fonction de décodage au sein des arguments.
GitHub comme C2
Les chercheurs ont également souligné l’utilisation de GitHub par la campagne comme couche C2. Plutôt que de communiquer avec des domaines suspects ou nouvellement enregistrés, le malware interagit avec les référentiels et les API GitHub pour recevoir des instructions et exfiltrer des données.
« Le fait que ce fichier de raccourci crée une chaîne qui atteint finalement un référentiel GitHub et extrait des scripts sur Internet devrait alerter les défenseurs du réseau sur le fait que même les plates-formes de productivité peuvent être des vecteurs d’attaque », a ajouté Boote.
Après avoir infecté un système, les scripts PowerShell effectuent des vérifications du système pour confirmer que l’environnement n’est pas en cours d’analyse, s’assurer que le logiciel malveillant persiste après le redémarrage du système via la tâche planifiée et collecter des informations système détaillées. Ce n’est qu’alors qu’une connexion stable est tentée avec les scripts suivants, où des modules et des instructions supplémentaires sont récupérés depuis le référentiel GitHub de l’attaquant.
Les chercheurs ont signalé un compte GitHub, « motoralis », avec une activité constante remontant à 2025, et d’autres comptes moins fréquents, notamment « God0808RAMA », « Pigresy80 », « entier73 », « pandora0009 » et « brandonleeodd93-blip ».
De plus, le billet de blog partageait un ensemble d’URL et de fonctions de hachage pour prendre en charge les efforts de détection.
